CAP_DAC_OVERRIDE é uma capacidade do processo , não está anexado a arquivos específicos. Para processos que o possuem em seu conjunto de recursos efetivos, as verificações de permissão de DAC (leitura / gravação / execução) são ignoradas completamente. Isso é semelhante a como as verificações de permissão do DAC são ignoradas para o root.
A concessão de acesso compartilhado a arquivos usando esse recurso é extremamente grosseira (on / off), pois ignoraria todos controles de acesso DAC para tudo . Ter o recurso é essencialmente o mesmo que ser root [1] . Nenhum administrador de sistemas responsável e competente daria acesso root às máquinas que eles administram para pessoas que não precisam dele.
Existem outros mecanismos de controle de acesso que permitem configuração detalhada, por exemplo, POSIX Access Control Listas (ACL) . Eles podem ser configurados por arquivo / diretório para permitir o acesso de usuário (s) / grupo (s) que o acesso normal ao DAC impediria.
Se o sistema que você está usando não for gerenciado por você, não há muito o que fazer para contornar as políticas definidas pelo administrador do sistema. Você poderia usar criptografia de arquivo adicional no seu cliente, o que manteria seus dados privados.
Seu chefe monitorando você no trabalho não é realmente um problema técnico, mas uma questão social. Uma solução técnica não resolverá a situação.